在 Amazon S3 中記錄和監控

監控是維護 Amazon S3 和 AWS 解決方案可靠性、可用性和效能的重要部分。我們建議您從 AWS 解決方案的所有部分收集監控資料，以便在發生多點失敗時更輕鬆地偵錯。開始監控 Amazon S3 之前，請建立監控計劃來回答下列問題：

• 監控目標是什麼？

• 要監控哪些資源？

• 監控這些資源的頻率為何？

• 要使用哪些監控工具？

• 誰將執行監控任務？

• 發生問題時應該通知誰？

如需 Amazon S3 記錄與監控的詳細資訊，請參閱下列主題。

注意

如需將 Amazon S3 Express One Zone 儲存類別與目錄儲存貯體搭配使用的詳細資訊，請參閱 S3 Express One Zone 和 使用目錄儲存貯體。

監控是維護 Amazon S3 和 AWS 解決方案可靠性、可用性和效能的重要部分。您應該從 AWS 解決方案的所有部分收集監控資料，以便在發生多點失敗時更輕鬆地偵錯。 AWS 提供數種工具來監控 Amazon S3 資源並回應潛在事件。

Amazon CloudWatch 警示

使用 Amazon CloudWatch 警示，您可在自己指定的一段時間內監看單一指標。如果指標超過指定的閾值，則會將通知傳送至 Amazon SNS 主題或 AWS Auto Scaling 政策。CloudWatch 警示不會因為處於特定狀態而叫用動作。必須是狀態已變更並維持了所指定的時間長度，才會呼叫動作。如需詳細資訊，請參閱使用 Amazon CloudWatch 監控指標。

AWS CloudTrail 日誌

CloudTrail 提供 Amazon S3 AWS 中使用者、角色或服務所採取動作的記錄。您可以利用 CloudTrail 所收集的資訊來判斷向 Amazon S3 發出的請求，以及發出請求的 IP 地址、人員、時間和其他詳細資訊。如需詳細資訊，請參閱使用 記錄 Amazon S3 API 呼叫 AWS CloudTrail。

Amazon GuardDuty

Amazon GuardDuty 是一種威脅偵測服務，可持續監控您的帳戶、容器、工作負載和 AWS 環境中的資料，以識別 S3 儲存貯體的潛在威脅或安全風險。GuardDuty 也會提供其所偵測到威脅的相關豐富內容。GuardDuty 會監控 AWS CloudTrail 管理日誌中是否有威脅，並提供安全相關資訊。例如，GuardDuty 會包含環境中可能不尋常的 API 請求因素，例如提出請求的使用者、提出請求的位置，以及請求的特定 API。GuardDuty S3 保護會監控 CloudTrail 收集的 S3 資料事件，並識別環境中所有 S3 儲存貯體的潛在異常和惡意行為。

Amazon S3 存取日誌

伺服器存取日誌提供了對儲存貯體進行請求的詳細記錄。伺服器存取日誌對許多應用程式來說，都是個很有用的資料。舉例來說，存取記錄資訊在安全與存取稽核中相當實用。如需詳細資訊，請參閱使用伺服器存取記錄記錄要求。

AWS Trusted Advisor

Trusted Advisor 利用從為數十萬 AWS 客戶提供服務中學到的最佳實務。 Trusted Advisor 會檢查您的 AWS 環境，然後在有機會節省成本、改善系統可用性和效能，或協助填補安全漏洞時提出建議。所有 AWS 客戶都可以存取五個 Trusted Advisor 檢查。擁有商業或企業支援計劃的客戶可以檢視所有 Trusted Advisor 檢查。

Trusted Advisor 具有下列 Amazon S3-related檢查：

• Amazon S3 儲存貯體的記錄組態。

• 對於有開放式存取許可的 Amazon S3 儲存貯體，進行安全檢查。

• 對於未啟用版本控制或已暫停版本控制的 Amazon S3 儲存貯體，進行容錯能力檢查。

如需詳細資訊，請參閱《支援 使用者指南》中的 AWS Trusted Advisor。

Amazon S3 Storage Lens

Amazon S3 Storage Lens 是一種雲端儲存體分析功能，您可以用來了解整個組織使用物件儲存體的情況及其活動情形。您可以使用 S3 Storage Lens 指標產生摘要洞見，例如了解您在整個組織中擁有多少儲存體，或是成長速度最快的儲存貯體和字首有哪些。您也可以使用 S3 Storage Lens 指標，識別成本最佳化機會、實作資料保護和安全最佳實務，以及改善應用程式工作負載的效能。

S3 Storage Lens 會彙總您的指標，並在 Amazon S3 主控台儲存貯體頁面上的「帳戶快照」區段中顯示資訊。S3 Storage Lens 也會提供互動式儀表板，您可以用來以視覺化方式呈現洞見與趨勢、標記異常值，以及接收最佳化儲存成本和套用資料保護最佳實務的建議。您的儀表板具有向下切入選項，可在組織、帳戶 AWS 區域、儲存類別、儲存貯體、字首或 Storage Lens 群組層級產生和視覺化洞見。如需詳細資訊，請參閱了解 Amazon S3 Storage Lens。

Amazon S3 清查

Amazon S3 庫存清單會產生物件和中繼資料清單，可用來查詢和管理物件。您可以使用此庫存報告來產生精細資料，例如物件大小、上次修改日期、加密狀態和其他欄位。這些報告會每天或每週提供，以自動提供最新清單。

例如，您可以使用 Amazon S3 庫存清單來稽核與回報物件的複寫和加密狀態，以滿足業務、合規及法規需求。您也可以使用 Amazon S3 庫存清單來簡化及加速業務工作流程與大數據作業，以提供 Amazon S3 同步 List API 操作的排程替代方式。Amazon S3 庫存清單不會使用 List API 操作來稽核您的物件，也不會影響儲存貯體的請求率。如需詳細資訊，請參閱使用 S3 庫存清單編目和分析資料。

Amazon S3 事件通知

您可以使用 Amazon S3 事件通知功能，在 S3 儲存貯體中發生特定事件時收到通知。若要啟用通知，請新增通知組態，以識別您想要 Amazon S3 發佈的事件。如需詳細資訊，請參閱Amazon S3 事件通知。

Amazon S3 和 AWS X-Ray

AWS X-Ray 與 Amazon S3 整合以追蹤上游請求，以更新應用程式的 S3 儲存貯體。如果服務使用 X-Ray SDK 追蹤請求，Amazon S3 可以將追蹤標頭傳送至下游事件訂閱者，例如 Λ、Amazon SQS 和 Amazon SNS。X-Ray 可啟用 Amazon S3 事件通知的追蹤訊息功能。您可以使用 X-Ray 追蹤圖來檢視 Amazon S3 與應用程式所使用其他服務之間的連線。如需詳細資訊，請參閱 Amazon S3 和 X-Ray。

以下安全最佳實務也可用來解決記錄和監控：

• Identify and audit all your Amazon S3 buckets

• Implement monitoring using Amazon Web Services monitoring tools

• 啟用 AWS Config

• Enable Amazon S3 server access logging

• Use CloudTrail

• Monitor Amazon Web Services security advisories

主題

• 監控工具

• Amazon S3 的記錄選項

• 使用 記錄 Amazon S3 API 呼叫 AWS CloudTrail

• 使用伺服器存取記錄記錄要求

• 使用 Amazon CloudWatch 監控指標

• Amazon S3 事件通知

• 使用 Amazon S3 Storage Lens 評估儲存活動和使用量

• 使用 S3 庫存清單編目和分析資料